Новые атаки Zloader отключают Защитник Windows, чтобы избежать обнаружения

20
Новые атаки Zloader отключают Защитник Windows, чтобы избежать обнаружения

Текущая кампания Zloader использует новую цепочку заражения, чтобы отключить антивирус Microsoft Defender (ранее Windows Defender) на компьютерах жертв, чтобы избежать обнаружения.

Согласно статистике Microsoft , Microsoft Defender Antivirus – это антивирусное решение, предустановленное на более чем 1 миллиард систем под управлением Windows 10.

Злоумышленники также изменили вектор доставки вредоносных программ со спама или фишинговых писем на рекламу TeamViewer Google, публикуемую через Google Adwords, перенаправляя цели на поддельные сайты загрузки.

Оттуда их обманом заставляют загружать подписанные и вредоносные установщики MSI, предназначенные для установки вредоносных программ Zloader на свои компьютеры.

«Цепочка атак, проанализированная в этом исследовании, показывает, как сложность атаки выросла, чтобы достичь более высокого уровня скрытности», – заявили исследователи безопасности SentinelLabs Антонио Пироцци и Антонио Кокомацци в опубликованном сегодня отчете .

«Дроппер первой стадии был заменен с классического вредоносного документа на скрытую подписанную полезную нагрузку MSI. Он использует бэкдор-бинарные файлы и серию LOLBAS, чтобы ослабить защиту и проксировать выполнение своих полезных нагрузок.

Атаки на клиентов австралийских и немецких банков

Zloader (также известный как Terdot и DELoader) – это банковский троян, впервые обнаруженный еще в августе 2015 года, когда он использовался для атаки на клиентов нескольких британских финансовых объектов.

Подобно Zeus Panda и Floki Bot, эта вредоносная программа почти полностью основана на исходном коде троянца Zeus v2, который просочился в сеть более десяти лет назад.

Банковский троян нацелился на банки по всему миру, от Австралии и Бразилии до Северной Америки, пытаясь собрать финансовые данные с помощью веб-инъекций, которые используют социальную инженерию, чтобы убедить зараженных клиентов раздать коды авторизации и учетные данные.

Совсем недавно он также использовался для доставки полезных нагрузок программ-вымогателей, таких как Ryuk и Egregor . Zloader также имеет бэкдор и возможности удаленного доступа, а также может использоваться в качестве загрузчика вредоносных программ для сброса дополнительных полезных нагрузок на зараженные устройства.

Согласно исследованию SentinelLabs, эта последняя кампания в первую очередь ориентирована на клиентов немецких и австралийских банковских учреждений.

«Мы впервые наблюдаем эту цепочку атак в кампании ZLoader», – заключили исследователи SentinelLabs .

«На момент написания у нас нет доказательств того, что цепочка доставки была реализована конкретным филиалом или была ли она предоставлена ​​основным оператором».

MalwareBytes, который отслеживает эту кампанию вредоносной рекламы, которую они назвали Malsmoke с начала 2020 года, видел, как злоумышленники заражали свои цели с помощью дроппера вредоносного ПО Smoke Loader, используя комплект эксплойтов Fallout через вредоносные сайты для взрослых.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here